Este recurso não é compatível com o Webex for Government.

Sobre as chaves principais do cliente

Como parte do nosso compromisso com a segurança de ponta a ponta, o Webex detém uma chave principal em nome de cada organização. Chamamos isso de chave principal porque ele não criptografa o conteúdo diretamente, mas é usado para criptografar as outras chaves da sua organização que criptografam o conteúdo. O nível base da hierarquia de chaves é chamado de chave de conteúdo (CK) e os níveis intermediários das chaves são chamados de chaves de criptografia de chaves (KEK).

Reconhecemos que algumas organizações preferem gerenciar sua própria segurança, então estamos oferecendo a opção de gerenciar sua própria chave principal do cliente (CMK). Isso significa que você assume a responsabilidade por criar e alternar (recriptografar) a chave principal que o Webex usa para criptografar suas chaves de criptografia de conteúdo.

No futuro, uma chave refere-se ao CMK, salvo especificação em contrário.

Como funciona

  1. O Webex mantém o CMK em um módulo de segurança de hardware (HSM) para que os serviços Webex não tenham acesso ao valor do CMK.

  2. O Control Hub mostra o CMK ativo ou revogado no momento e qualquer CMK pendente armazenado no HSM. Quando você precisar girar (recriptografar) o CMK, gere o novo CMK e o criptografe com a chave pública do HSM, de modo que apenas o HSM possa descriptografar e armazená-lo.

  3. Em seguida, você carrega e ativa o novo CMK no Control Hub. O Webex começa imediatamente a usar o novo CMK para criptografar suas chaves de conteúdo. O Webex mantém o antigo CMK, mas apenas até ter certeza de que as chaves de criptografia de conteúdo estão protegidas pelo novo CMK.

Não recriptografamos retroativamente todo o conteúdo existente. Depois de ativar o CMK, todo o novo conteúdo (Espaços e Reuniões) será recriptografado e protegido.

Sobre as chaves KMS da AWS

Reconhecemos que algumas organizações preferem gerenciar sua própria chave fora do Webex. É por isso que estamos oferecendo a opção de gerenciar seu próprio CMK no Serviço de gerenciamento de chaves (KMS) do Amazon Web Services (AWS). Isso implica que você é responsável por gerenciar suas chaves na AWS KMS. Você autoriza o Webex a criptografar e descriptografar usando sua chave AWS KMS por meio do console da AWS. Você fornece ao Webex sua ID de chave AWS KMS em vez do CMK. Isso significa que você assume a responsabilidade por criar e alternar (recriptografar) a chave AWS KMS que o Webex usa para criptografar suas chaves de criptografia de conteúdo na nuvem.

Como funciona

  1. Você cria uma chave com a AWS. O AWS KMS é usado para gerenciar sua chave e armazena a chave em um módulo de segurança de hardware (HSM).

  2. Você fornece ao Webex acesso para usar a chave AWS KMS por meio do console da AWS.

    Isso significa que, em vez de carregar seu CMK no Control Hub, você fornece ao Webex acesso à chave AWS KMS. A chave AWS KMS não deixa suas AWS KMS e os serviços Webex não têm acesso ao material da chave AWS KMS.

    O Control Hub mostra sua chave AWS KMS atualmente ativa ou revogada e qualquer chave AWS KMS pendente que esteja armazenada na AWS KMS. Quando você precisar girar a chave AWS KMS, gere sua nova chave AWS KMS com o console da AWS KMS.

  3. Em seguida, você adiciona e ativa a nova chave AWS KMS no Control Hub, fornecendo-lhe o nome de recurso da Amazon (ARN) da nova chave AWS KMS. O Webex começa imediatamente a usar a nova chave AWS KMS para criptografar suas chaves de conteúdo. O Webex não requer mais a antiga chave AWS KMS. A antiga chave AWS KMS desaparecerá do Control Hub depois que as chaves de criptografia de conteúdo forem alternadas e protegidas pela nova chave AWS KMS. O Webex não exclui a chave AWS KMS da AWS KMS. O administrador do cliente pode remover a chave do AWS KMS.

Principais estados e ciclo de vida

Ciclo de vida da chave

Principais definições de estado

Pendente

Uma chave nesse estado é armazenada no HSM, mas ainda não é usada para criptografia. O Webex não usa esse CMK para criptografia.

Somente uma chave pode estar nesse estado.

Ativo

No momento, o Webex está usando este CMK para criptografar outras chaves da sua organização.

Somente uma chave pode estar nesse estado.

Rotação

O Webex está usando temporariamente este CMK. O Webex precisa dele para descriptografar seus dados e chaves que foram anteriormente criptografados por essa chave. Esta chave é desativada quando a rotação (recriptografia) é concluída.

Várias chaves poderão estar nesse estado se uma nova chave for ativada antes que a rotação seja concluída.

Desativado

O Webex não está usando este CMK. Essa chave não é mais usada para criptografia. Um tempo de ativação da chave é definido, após o qual essa chave é removida do HSM.

Revogado

O Webex não está usando este CMK. Mesmo que haja dados e chaves que foram criptografados com essa chave, o Webex não poderá usá-los para descriptografar os dados e chaves.

  • Você só precisará revogar uma chave ativa se suspeitar que ela está comprometida. Esta é uma decisão séria porque impede que muitas operações se portem corretamente. Por exemplo, você não poderá criar novos espaços e não poderá descriptografar nenhum conteúdo no Cliente Webex.
  • Somente uma chave pode estar nesse estado. É necessário reativar essa chave para girar (recriptografar) uma nova chave.
  • Este CMK pode ser excluído, mas não é necessário excluí-lo. Você pode querer mantê-lo para descriptografar/re-criptografar depois de resolver a suspeita de violação de segurança.
Excluído

O Webex não está usando este CMK. O comportamento nesse estado é o mesmo que o estado Revogado, exceto que um tempo de funcionamento da chave é definido, após o qual essa chave é removida do HSM.

  • Se um CMK excluído progredir para o estado Removido, você deverá recuperar a chave original para restaurar a funcionalidade na organização.
  • Recomendamos que você mantenha uma cópia de backup da sua chave original, caso contrário, sua organização não estará mais funcional.
Removido

Este é um estado lógico. O Webex não tem esse CMK armazenado no HSM. Ele não é exibido no Control Hub.

Requisitos

Propriedade

Ao assumir a propriedade do seu CMK, você deve:

  • Assuma a responsabilidade pela criação segura e pelo backup de suas chaves
  • Entenda as implicações de perder suas chaves
  • Recriptografar o seu CMK ativo pelo menos uma vez por ano como prática recomendada

Criação de chave

Você deve criar seu próprio CMK usando esses parâmetros. Sua chave deve ser:

  • 256 bits (32 bytes) de comprimento
  • Criptografado com o esquema RSA-OAEP
  • Criptografado com a chave pública HSM em nuvem Webex

Seu software de geração de chaves deve ser capaz de:

  • Função de hash SHA-256
  • Função de geração de máscara MGF1
  • Preenchimento do OAEP PKCS#1

Consulte Exemplo: Crie e criptografe chaves com o OpenSSL na guia Recursos neste artigo.

Autorização

Você deve ter acesso à sua organização Webex no Control Hub. Você deve ser um administrador total para gerenciar seu CMK.

Crie e ative sua chave principal do cliente
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chaves.

Para ativar o BYOK, ative Traga sua própria chave (BYOK) . Se você desativar o BYOK, a chave padrão comum Webex se tornará a chave principal para sua organização.

3

Selecione Carregar uma chave personalizada e clique em Próximo.

4

Clique em Baixar chave pública.

Salve a chave pública Webex HSM em um arquivo .pem em seu sistema local.

5

Crie uma chave aleatória criptograficamente segura de 256 bits (32 bytes) usando seu software de gerenciamento de chaves.

6

Use a chave pública Webex HSM para criptografar sua nova chave.

Os parâmetros de criptografia necessários são:

  • Regime RSA-OAEP
  • Função de hash SHA-256
  • Função de geração de máscara MGF1
  • Preenchimento do OAEP PKCS#1
Consulte Exemplo: Crie e criptografe chaves com o OpenSSL na guia Recursos neste artigo.
7

Arraste a chave criptografada do seu sistema de arquivos e solte-a na área de carregamento da interface do Control Hub ou clique em Escolher um arquivo.

8

Clique em Próximo.

O Webex carrega sua chave para o HSM, onde ela é descriptografada e validada. Em seguida, o Control Hub mostra a ID do novo CMK e a ID do CMK atualmente ativo, se houver.

Se esta for seu primeiro CMK, a chave ativa no momento será a chave padrão comum Webex (a que usamos atualmente para criptografar as chaves da sua organização).

9

Escolha como deseja ativar sua chave:

  • Ativar nova chave: O novo CMK entra imediatamente no estado Ativo. O CMK ativo anteriormente entra em Rotação (estado recriptografando), até que todo o conteúdo seja protegido pelo novo CMK, após o qual o Webex exclui o CMK ativo anteriormente.
  • Ativar mais tarde: O novo CMK é transferido para o estado Pendente. O Webex mantém esse CMK no HSM, mas ainda não o usa. O Webex continua usando o CMK ativo no momento para criptografar as chaves da sua organização.

O que fazer em seguida

Não recriptografamos retroativamente todo o conteúdo existente. Depois de ativar o CMK, todo o novo conteúdo (Espaços e Reuniões) será recriptografado e protegido.

Gire sua chave
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chaves.

3

Vá para o CMK ativo.

4

Clique em Menu “Mais” e selecione Girar.

5

Crie e criptografe uma nova chave (se você ainda não tiver feito isso).

O processo está descrito em Criar e ativar sua chave principal do cliente neste artigo.
6

Arraste a nova chave do seu sistema de arquivos e solte-a no Control Hub.

7

Clique em Ativar nova chave.

A nova chave que você carregou entra no estado Ativo.

O CMK antigo permanece em Rotação (estado recriptografando) até que o Webex termine de criptografar todo o seu conteúdo com o novo CMK ativo. Após a recriptografia, a chave é transferida para o estado Desativado. O Webex então exclui o antigo CMK.

Revogue sua chave
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chaves.

3

Vá para a chave ativa.

4

Clique em Menu “Mais” e selecione Revogar.

5

Confirme a revogação da chave.

Pode levar até 10 minutos para revogar completamente sua chave.
Reative sua chave revogada
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chaves.

3

Vá para a chave atualmente revogada.

4

Clique em Menu “Mais” e selecione Ativar.

5

Confirme a ativação da chave.

A chave revogada anteriormente entra no estado Ativo.
Excluir sua chave revogada
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chaves.

3

Vá para a chave revogada.

4

Clique em Menu “Mais” e selecione Excluir.

5

Confirme a exclusão da chave.

Depois de excluído, você tem a opção de restaurar a chave em 30 dias.
Restaurar sua chave revogada
1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chaves.

3

Vá para a chave excluída.

4

Clique em Menu “Mais” e selecione Desexcluir.

5

Confirme a restauração da chave.

Depois de restaurado, o Control Hub mostra a chave no estado Revogado antes de ser excluída. Por exemplo, se você excluir uma chave revogada e, em seguida, restaurar a chave, o Control Hub mostrará a chave restaurada no estado Revogada.

Requisitos

Propriedade

Ao assumir a propriedade da sua chave AWS KMS, você deve:

  • Assuma a responsabilidade pela criação segura e pelo backup de suas chaves AWS KMS.
  • Entenda as implicações de perder suas chaves AWS KMS.
  • Recriptografe sua chave AMS KMS ativa pelo menos uma vez por ano como uma prática recomendada.

Autorização

  • Você deve estar autorizado a criar e gerenciar suas chaves na AWS KMS da sua organização Webex.
  • Você deve ter acesso à sua organização Webex no Control Hub. Você deve ser um administrador completo para gerenciar sua chave AWS KMS.
Criar uma chave AWS KMS
1

Inicie sessão na AWS e vá para o console da AWS KMS.

2

Selecione Chaves gerenciadas pelo cliente e clique em Criar chave.

3

Crie a chave com os seguintes atributos:

  • Tipo de chave — Selecione Simétrica.
  • Uso da chave — Selecione Criptografar e descriptografar.
  • Opções avançadas > Regionalidade—Selecione Chave de região única ou Chave de várias regiões.
  • Rótulos — insira o alias, a descrição e as marcas.
  • Administradores principais—Selecione as funções e os usuários principais do administrador da sua organização.
  • Exclusão de chave — marque Permitir que os administradores de chaves excluam esta chave.
  • Usuários principais—Selecione os principais usuários e funções da sua organização.
4

Clique em Próximo.

5

Revise suas configurações e clique em Concluir.

Sua chave AWS KMS foi criada.
6

Vá para Chaves gerenciadas pelo cliente e clique no alias ou na ID da chave para visualizar o ARN.

O que fazer em seguida

Recomendamos que você mantenha uma cópia temporária do ARN. Este ARN é usado para adicionar e ativar sua chave AWS KMS no Control Hub.

Também recomendamos que você crie uma chave de backup para garantir a disponibilidade e resiliência dos dados. Isso permite o acesso a dados criptografados, mesmo durante interrupções regionais. Para obter mais informações, consulte Criar uma chave AWS KMS de backup neste artigo.

Criar uma chave AWS KMS de backup

Antes de começar

Certifique-se de ter criado uma chave com várias regiões antes de continuar criando uma chave de backup. Para obter mais informações, consulte Criar uma chave AWS KMS neste artigo.

1

Inicie sessão na AWS e vá para o console da AWS KMS.

2

Selecione a chave de várias regiões recém-criada.

3

Em Regionalidade, clique em Criar novas chaves de réplica.

4

Escolha uma região de backup na lista de regiões da AWS e clique em Próximo.

Por exemplo, se a chave foi criada no oeste dos EUA (us-west-1), considere criar a chave de backup no leste dos EUA (us-east-1).
5

Crie a chave com os seguintes atributos:

  • Rótulos — insira o alias, a descrição e as marcas.
  • Administradores principais—Selecione as funções e os usuários principais do administrador da sua organização.
  • Exclusão de chave — marque Permitir que os administradores de chaves excluam esta chave.
  • Usuários principais—Selecione os principais usuários e funções da sua organização.
6

Clique em Próximo.

7

Revise suas configurações, marque a caixa de confirmação e clique em Criar novas chaves de réplica.

Autorize o Cisco KMS com acesso à chave AWS KMS
1

Inicie sessão na AWS e vá para o console do AWS CloudShell.

2

Execute create-grant para autorizar o Webex da seguinte forma:

aws kms create-grant \
              --name {UNIQUE_NAME_FOR_GRANT} \
              --key-id {UUID_Of_AWS_KMS Key} \
              --operations Encrypt Decrypt DescribeKey \
              --grantee-principal {KMS_CISCO_USER_ARN} \
              --retiring-principal {KMS_CISCO_USER_ARN}
Por exemplo: 
aws kms create-grant \ 
              --name Cisco-KMS-xxxxxxxx-encrypt-decrypt \ 
              --key-id xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx \ 
              --operations Encrypt Decrypt DescribeKey \ 
              --grantee-principal arn:aws:iam::xxxxxxxxxxxx:user/kms-cisco-user \ 
              --retiring-principal arn:aws:iam::xxxxxxxxxxxx:user/kms- cisco-user

O KMS_CISCO_USER_ARN é específico para sua organização. O ARN é mostrado na janela Adicionar sua chave AWS ao ativar sua nova chave AWK KMS no Control Hub.

Adicione e ative sua chave AWS KMS

Antes de começar

Você deve criar uma chave AWS KMS antes de ativá-la no Control Hub. Consulte Criar uma chave AWS KMS neste artigo.

Você deve fornecer ao Webex acesso à chave AWS KMS. Consulte Autorizar Cisco KMS com acesso à chave AWS KMS neste artigo.

1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chaves e ative Traga sua própria chave (BYOK) .

Se você desativar o BYOK, a chave padrão comum Webex se tornará a chave principal para sua organização.

3

Selecione Adicionar chave AWS KMS e clique em Próximo.

4

Obtenha o ARN no console da AWS.

5

Insira o ARN no Control Hub e clique em Adicionar.

O ARN da chave é carregado para o Cisco KMS, onde o acesso à chave é validado. Em seguida, o Control Hub mostra a ID da chave Cisco KMS da sua nova chave AWS KMS e a ID da chave Cisco KMS atualmente ativa, se houver.

Se esta for sua primeira chave AWS KMS, a chave ativa no momento será a chave padrão comum Webex (a que usamos atualmente para criptografar as chaves da sua organização).

6

Escolha como deseja ativar sua chave:

  • Ativar: A nova chave AWS KMS entra imediatamente no estado ativo.
  • Ativar mais tarde: A nova chave AWS KMS é transferida para o estado Pendente. O Webex mantém este ARN da chave AWS KMS no Cisco KMS, mas ainda não o usa. O Webex continua usando a chave AWS KMS ativa no momento para criptografar as chaves da sua organização.
Gire sua chave AWS KMS
1

Inicie sessão no Control Hub e vá para Configurações da organização > Gerenciamento de chaves.

2

Vá para a chave AWS KMS ativa.

3

Clique em Menu “Mais” e selecione Girar.

4

Insira sua nova chave AWS KMS e o novo ARN e clique em Adicionar.

O processo está descrito em Adicionar e ativar sua chave AMS KMS neste artigo.
5

Clique em Ativar.

A nova chave AWS KMS que você carregou entra no estado Ativo.

A antiga chave AWS KMS permanece no estado Rotativo até que o Webex termine de criptografar todo o conteúdo com a nova chave AWS KMS ativa. Depois de recriptografar, a antiga chave AWS KMS desaparece automaticamente do Control Hub.

Gire para adicionar outra chave AWS KMS (opcional)
1

Inicie sessão no Control Hub e vá para Configurações da organização > Gerenciamento de chaves.

2

Clique em Adicionar outra chave.

3

Insira sua nova chave AWS KMS e clique em Adicionar.

O Control Hub mostra a ID da chave Cisco KMS da sua nova chave AWS KMS e a ID da ID da chave Cisco KMS ativa no momento.

O processo está descrito em Adicionar e ativar sua chave AMS KMS neste artigo.

4

Clique em Ativar.

A nova chave AWS KMS que você carregou entra no estado Ativo.

A antiga chave AWS KMS permanece no estado Rotativo até que o Webex termine de criptografar todo o conteúdo com a nova chave AWS KMS ativa. Depois de recriptografar, a antiga chave AWS KMS desaparece automaticamente do Control Hub.

Revogue sua chave AWS KMS
1

Inicie sessão no Control Hub e vá para Configurações da organização > Gerenciamento de chaves.

2

Vá para a chave AWS KMS ativa no momento.

3

Clique em Menu “Mais” e selecione Revogar localmente.

4

Confirme a revogação da chave.

Pode levar até 10 minutos para revogar completamente sua chave. A chave AWS KMS entra no estado Revogado localmente.

Se o administrador do cliente revogar a chave do console da AWS KMS, a chave da AWS KMS será mostrada no estado Revogado pela Amazon no Control Hub.

Exclua sua chave AWS KMS
1

Inicie sessão no Control Hub e vá para Configurações da organização > Gerenciamento de chaves.

2

Vá para a chave revogada do AWS KMS.

3

Clique em Menu “Mais” e selecione Excluir.

4

Confirme a exclusão da chave.

Depois de excluída, você poderá recuperar a chave em 30 dias.

Recomendamos que você exclua a chave AWS KMS do Control Hub primeiro antes de excluir seu CMK do console da AWS. Se você excluir o CMK do console da AWS antes de excluir a chave AWS KMS no Control Hub, poderá ter problemas.

Certifique-se de que a chave AWS KMS não esteja mais visível no Control Hub antes de excluir o CMK do console da AWS.

Restaure sua chave AWS KMS
1

Inicie sessão no Control Hub e vá para Configurações da organização > Gerenciamento de chaves.

2

Vá para a chave AWS KMS excluída.

3

Clique em Menu “Mais” e selecione Desexcluir.

4

Confirme a restauração da chave.

Depois de restaurado, o Control Hub mostra a chave no estado Revogado.

Solucionar problemas de sua chave AWS KMS

Se você tiver problemas com sua chave AWS KMS, use as seguintes informações para solucioná-la.

  • ARN da chave AWS KMS. Por exemplo, arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab.

  • Concessões na chave AWS KMS.

  • Estado da chave AWS KMS. Por exemplo, a chave AWS KMS está desativada.

Exemplo: Crie e encripte chaves com o OpenSSL

Este exemplo usa a versão 3.0 das ferramentas de linha de comando OpenSSL. Consulte OpenSSL para obter mais informações sobre essas ferramentas.

1

Inicie sessão no Control Hub.

2

Vá para Configurações da organização > Gerenciamento de chaves.

3

Clique em Baixar chave pública.

Você obtém a chave pública Webex HSM em um arquivo .pem em seu sistema local.

4

Crie uma chave de 256 bits (32 bytes): openssl rand -out main_key.bin 32.

O exemplo usa o nome do arquivo main_key.bin para sua nova chave não criptografada.

Como alternativa, você pode gerar um valor aleatório de 32 bytes usando geradores Hex dump, Python ou on-line. Você também pode criar e gerenciar sua chave AWS KMS.

5

Use a chave pública Webex HSM para criptografar sua nova chave:

openssl pkeyutl -encrypt -pubin -inkey path/to/public.pem -in main_key.bin -out main_key_encrypted.bin -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256

O exemplo usa o nome do arquivo main_key_encrypted.bin para a chave de saída criptografada e o nome do arquivo caminho/para/public.pem para a chave pública Webex.

A chave criptografada está pronta para você carregar no Control Hub.

Leitura relacionada